Este martes el Gobierno ha aprobado el Proyecto de Ley de Protección y Resiliencia de las Entidades críticas, tal y como adelantó en exclusiva Demócrata. La iniciativa transpone la Directiva europea 2022/2557 sobre la salvaguarda de aquellas organizaciones que prestan servicios esenciales en sectores estratégicos y resultan indispensables para mantener las funciones sociales o las actividades económicas. ¿Cuáles son las denominadas entidades críticas, por qué son tan importantes a nivel estratégico para un país, a qué sectores afecta y cómo impactaría esta nueva normativa?
Qué es una entidad crítica
Una entidad crítica es cualquier organización —pública o privada— que presta un servicio esencial para el funcionamiento de la sociedad o de la economía. Su relevancia no depende tanto de su tamaño como del impacto que tendría una interrupción de su actividad.
La nueva regulación introduce además el concepto de “efecto perturbador significativo”, que permite medir hasta qué punto una caída del servicio podría afectar a la seguridad, la salud pública o la estabilidad económica. Es ese impacto potencial el que determina si una infraestructura o entidad debe ser considerada crítica.
En la práctica, esto incluye desde operadores energéticos hasta hospitales, redes de transporte, sistemas de abastecimiento de agua o instalaciones vinculadas a la cadena alimentaria.
Sectores afectados
El ámbito de aplicación de la ley es amplio y abarca los principales sectores estratégicos. Entre ellos figuran:
- Energía.
- Transporte.
- Sanidad.
- Sector bancario.
- Mercados financieros.
- Agua.
- Infraestructuras digitales
- Administración pública.
- Alimentación.
- Industria nuclear.
- Infraestructuras de investigación.
- Seguridad privada.
Se trata de actividades cuya interrupción no solo afecta a usuarios concretos, sino que puede generar efectos en cascada sobre el conjunto del sistema económico y social.
Algunos sectores como el bancario, los mercados financieros o las infraestructuras digitales quedan al margen del nuevo proyecto de ley porque ya cuentan con marcos regulatorios específicos, especialmente en el ámbito de la ciberseguridad.
Por qué son tan importantes
La importancia de las entidades críticas ha cobrado protagonismo en los últimos años a raíz de crisis encadenadas. La pandemia, la guerra en Ucrania o las tensiones geopolíticas han puesto de manifiesto la vulnerabilidad de las cadenas de suministro y de los servicios esenciales.
Un fallo en algún eslabón de una de estas infraestructuras puede traducirse en apagones, interrupciones del transporte, problemas sanitarios o desabastecimientos. Por eso, la prioridad de las administraciones es garantizar no solo su protección física, sino también su capacidad de resistir, adaptarse y recuperarse ante incidentes.
Este enfoque, conocido como resiliencia, es precisamente el eje central de la nueva ley.
Qué cambia con la nueva ley
El anteproyecto aprobado por el Gobierno adapta la normativa española a la directiva europea sobre resiliencia de entidades críticas y establece un modelo más estructurado basado en la prevención y la gestión del riesgo.
Uno de los pilares será la Estrategia Nacional de Protección y Resiliencia, que se apoyará en una evaluación periódica de amenazas y riesgos. A partir de ahí, se coordinarán planes nacionales, sectoriales y operativos, en los que participarán tanto las administraciones como las propias empresas.
Las entidades, por su parte, estarán obligadas a:
- Elaborar planes de resiliencia propios
- Evaluar sus riesgos de forma individualizada
- Notificar incidentes relevantes
- Designar responsables de seguridad y resiliencia
- Reforzar los controles de acceso y verificación de personal
La gran novedad: un sistema de certificación
El elemento más novedoso de la ley es la creación de un esquema nacional de certificación en resiliencia, un mecanismo que hasta ahora no existía en este ámbito.
Este sistema permitirá evaluar de forma estandarizada si las medidas adoptadas por las entidades cumplen determinados niveles de calidad, seguridad y cumplimiento normativo. En la práctica, funcionará como un sello que acreditará que una organización está preparada para afrontar riesgos y garantizar la continuidad de sus servicios.
El objetivo es doble: por un lado, homogeneizar los estándares en todos los sectores; por otro, facilitar la supervisión por parte de las autoridades y mejorar la confianza en la capacidad del sistema para resistir crisis.
Un nuevo mapa de infraestructuras críticas
La ley también prevé la creación de un Catálogo Nacional de Entidades Críticas y Estratégicas, que reunirá la información sobre estas infraestructuras bajo criterios de confidencialidad. Este instrumento permitirá a las autoridades tener una visión más completa del sistema y priorizar actuaciones en función del riesgo.
En paralelo, el actual Centro Nacional de Protección de Infraestructuras Críticas evolucionará hacia un nuevo organismo con competencias reforzadas en resiliencia y cooperación internacional.
Más control en un contexto de incertidumbre
El impulso de esta ley responde a un contexto marcado por la inestabilidad geopolítica, el aumento de las amenazas híbridas y la creciente interdependencia entre sectores.
En este escenario, el Gobierno apuesta por un modelo que combina regulación, supervisión y colaboración público-privada para proteger los servicios esenciales. La clave estará en cómo se implementen estas medidas y en la capacidad de las empresas para adaptarse a un marco más exigente.
Con la nueva norma, las entidades críticas pasan de ser infraestructuras a proteger a convertirse en actores obligados a demostrar su resiliencia, en un entorno donde la continuidad del servicio es ya una cuestión de seguridad nacional.